Informatiebeveiliging en privacy

Informatiebeveiliging en privacy zijn steeds belangrijkere aandachtspunten in onze samenleving. Voor de gemeente Roosendaal heeft Rekenkamer West-Brabant hierop een onderzoek uitgevoerd om te bezien hoe de gemeentelijke organisatie omgaat met bijvoorbeeld privacygevoelige gegevens van onze Roosendaalse inwoners.

De Roosendaalse Lijst onderschrijft de conclusies en aanbevelingen van het onderzoeksrapport van de Rekenkamer en zijn ook van mening dat – gezien de ontwikkelingen op het terrein van informatieveiligheid en privacy – het college gevolg dient te geven aan deze aanbevelingen. Dit om de beveiliging van persoonlijke gegevens van onze Roosendaalse inwoners mede te waarborgen. De AR-rapportage geeft inzicht in al dan niet getroffen maatregelen op dit gebied.

De fractie van de Roosendaalse Lijst heeft hierover de volgende vragen aan de portefeuillehouder:

1. Hoe gaat het college in algemene zin aantonen volledig aan de Baseline Informatiebeveiliging Gemeenten (BIG) te voldoen en hoe denkt het college in deze om te gaan met genoemde leemtes in de informatiebeveiliging?

2. Per 1 januari 2020 wordt een nieuw uniform normenkader voor Informatiebeveiliging verplicht gesteld, te weten Baseline Informatiebeveiliging Overheid (BIO). Dit nieuwe normenkader gaat meer in op een risico gedreven aanpak om te voldoen aan tal van beveiligings-beheerdoelstellingen. Hoe wordt de koppeling gelegd naar nog niet gerealiseerde BIG-maatregelen in relatie tot de nieuwe BIO-normering zonder dat dit ten koste gaat van de betrouwbaarheid van informatiebeveiliging?

3. Bij de ontwikkeling en aanschaf van systemen wordt ‘high trust high penalty’ als vervangende maatregel genoemd, terwijl daar juist harde controlemaatregelen nodig zijn (waaronder risicoanalyses, privacy-onderzoeken, systeemeisen en testprocedures). Is deze zogeheten soft control bekend binnen de gemeente? Zo ja, hoe is deze maatregel geborgd binnen de ambtelijke organisatie? Zo nee, is er voldoende bewustzijn binnen de ambtelijke organisatie over de mogelijke risico’s die worden gelopen op dit gebied?

4. Het beheer van incidenten is niet voldoende geborgd binnen de gemeentelijke organisatie en het inschattingsvermogen is slechts belegd bij enkele sleutelspelers. Eventuele uitval van deze sleutelposities, kan leiden tot mogelijke risico’s. Hoe denkt het college dit punt te kunnen verbeteren?

5. Het beheer van een aantal systemen is uitbesteed aan de gemeenschappelijke regeling ICT West-Brabant West. De AR stelt dat hierover afspraken gemaakt dienen te worden in de vorm van verantwoording en wellicht middels een onderzoeksrapportage door een onafhankelijke IT-auditor. Kan de wethouder aangeven welke afspraken hierover gemaakt zijn en wat de stand van zaken hierin is?

6. Recent heeft het ministerie van BZK een top 10 Gouden Regels op het gebied van iBewustzijn uitgebracht. Deze top 10 kan zeer behulpzaam kan zijn voor iedereen die met persoonsgebonden data omgaat. Is het college bekend met deze top 10 Gouden Regels? Bent u van mening dat deze bruikbaar is voor de gemeentelijke organisatie en bent u bereid deze te gaan gebruiken?

Voor beantwoording, zie link : LINK